Unter der Man-in-the-Middle (kurz: MitM)-Attacke kennt man eine der ältesten und gefährlichsten Bedrohungen in der digitalen Welt. Gelingt einem Angreifer diese heimtückische Attacke, so kann er den Datenverkehr zwischen zwei Kommunikationspartnern abfangen und im nächsten Schritt manipulieren, ohne dass diese etwas davon erfahren. Dieser Fachbeitrag beleuchtet die MitM-Attacke genauer, erläutert deren Funktionsweise und legt einige Möglichkeiten zur Prävention dar.
Der Inhalt im Überblick
Man-in-the-Middle-Attacke: Was ist das?
Wie bereits in den einleitenden Worten erwähnt, spricht man von einer MitM-Attacke, wenn ein Angreifer die Kommunikation zwischen zwei Parteien abfängt und diese heimlich überwacht oder manipuliert.
Dabei kann dies in verschiedenen Umgebungen auftreten. Ob im öffentlichen WLAN, bei der Online-Banking-Anmeldung oder sogar zum Teil in Unternehmensnetzwerken. Besonders beliebt sind auch Anmeldungen bei Cloud-Diensten geworden, wie etwa bei der Microsoft 365 Suite, zu der unter anderem MS Office gehört.
Das Hauptziel eines Man-in-the-Middle-Angreifers ist es, sich zwischen den beiden Kommunikationspartnern zu „positionieren“.
Welche Arten von Man-in-the-Middle-Angriffen gibt es?
Der Angreifer muss sich nicht zwingend aktiv zwischen zwei Kommunikationspartner geschaltet haben, wie beispielsweise bei der Rogue Access Point Methode. Das Ganze funktioniert auch durchaus passiver, wie etwa beim URL Spoofing. Eine Auswahl von gängigen Methoden sind:
Rogue Access Point
Angreifer errichten einen eigenen WLAN-Zugangspunkt (Access Point) und versuchen Smartphones, die automatisch nach WLAN Access Points suchen, in ihre Domäne hinzuzufügen. Gelingt es den Angreifern, kann der Netzwerkverkehr ihrer Opfer abgehört und manipuliert werden.
DNS Spoofing
Angreifer manipulieren DNS-Einträge im Speicher von Endgeräten, Routern oder Servern. Sicherheitslücken erlauben es Angreifern, die DNS-Einträge von Nameservern zu ersetzen, die dann in den Cache von anfragenden Servern und Endgeräten geladen und weitergegeben werden. Dadurch werden Opfer, unter der Annahme, sie verbinden sich auf eine vertrauenswürdige Seite, getäuscht und auf bösartige Hosts weitergeleitet. (Cache Poisoning)
mDNS Spoofing
Hierbei findet der Angriff in lokalen Netzwerken statt (z.B. Büro- oder Heimnetze). Angreifer nutzen das mDNS-Protokoll aus, um gefälschte Informationen über ein oder mehrere Netzwerkgeräte zu erzeugen. So könnten sie sich beispielsweis als Drucker in einem Netzwerk ausgeben und bei automatischer Verbindung eines Opfers etwa Malware verbreiten.
Sniffing
Mit Hilfe von Tools zur Paketerfassung (z.B. NPM oder Wireshark) lassen sich Pakete heimlich abhören, die zwischen Geräten in einem Netzwerk versendet werden. Darüber lassen sich zu einem bestimmten Grad auch wertvolle Informationen für Angreifer gewinnen.
Packet Injection
Diese Methode setzt in der Regel Sniffing zur Bestimmung der versandten Pakete voraus und beschreibt einen Angriff, bei dem bösartige Pakete des Angreifers in den Datenfluss eingeschleust werden, wo sie sich unter die „gutartigen“ Daten mischen und sich so als Teil des Kommunikationsflusses verbreiten.
Session Hijacking
Heutzutage ist es üblich, dass Webanwendungen nach einer Anwendung einen meist temporären Session-Token erstellen, um dem User künftig das Log-in zu erleichtern bzw. zu ersparen. Angreifer können diesen Session-Token jedoch abgreifen und sich damit lange mit dem Konto des Opfers einloggen, bis ein neuer Session-Token erzwungen oder freiwillig erstellt wird.
Besonders heimtückisch ist in diesem Zusammenhang die immer noch sehr präsente ExilProxy-Attacke, bei der Angreifer über ein manipulierten Proxy-Server, der ein vermeintlich legitimes Web-Login vortäuscht, Session-Tokens ihrer Opfer abgreifen und damit teilweise Multifaktor-Authentifizierungen umgehen können.
Wie funktioniert die Man-in-the-Middle-Attacke?
Einfach erklärt, basiert die Man-in-the-Middle-Attacke auf dem Abfangen und Umlenken des Datenverkehrs zwischen zwei Parteien. Die drei grundlegenden Schritte, die ein Angreifer normalerweise durchläuft, sind:
- Abhören des Datenverkehrs
Der Angreifer verwendet eine von vielen Methoden, um den Datenverkehr zwischen den Opfern abzufangen. Dies kann durch das Abhören von WLAN-Signalen, den Einsatz von Malware oder das Ausspähen von Netzwerkverbindungen erfolgen. - Umleitung des Datenverkehrs
Nachdem der Angreifer den Datenverkehr abgefangen hat, leitet er ihn an die eigentlichen Ziele weiter. Dies geschieht in der Regel, ohne dass die Opfer davon etwas merken. - Manipulation der Kommunikation
In einigen Fällen geht der Angreifer noch weiter, indem er die Kommunikation zwischen den Opfern aktiv manipuliert. Dies kann dazu führen, dass vertrauliche Informationen gestohlen oder gefälschte Daten eingeschleust werden, welche dann zu verschiedensten weiteren Angriffsvektoren, wie Verbreitung von Ransomware o.ä., führen können.
Prävention von Man-in-the-Middle-Angriffen
Da Man-in-the-Middle-Angriffe eher schwer zu erkennen sind, dafür aber große Schäden verursachen können, ist die Prävention von besonderer Bedeutung. Einige bewährte Methoden zur Verteidigung gegen Man-in-the-Middle-Angriffe sind:
- Verschlüsselung verwenden
Verschlüsselungstechniken, wie SSL/TLS, können dazu beitragen, die Kommunikation zwischen den Parteien abzusichern und die Gefahr von Abhör- und Manipulationsversuchen zu minimieren. - Sichere Netzwerke verwenden
Meiden Sie öffentliche WLANs für sensible Transaktionen. Sollten sie auf unsichere Netzwerke angewiesen sein, so könnten beispielsweise VPNs zur Hilfe genommen werden. - Regelmäßige Updates
Software und Sicherheitsprotokolle, die sich verwenden, sollten immer auf dem neuesten Stand sein, um so die Anzahl von Schwachstellen zu minimieren, die von Angreifern ausgenutzt werden könnten. - Überwachung und Erkennung
Sicherheitslösungen, die auf die Erkennung von verdächtigem Verhalten im Netzwerk spezialisiert sind, sollten implementiert werden, um MitM-Angriffe frühzeitig zu erkennen.
Man-in-the-Middle-Attacken weiterhin ernst zu nehmen
Die Man-in-the-Middle-Attacke (MitM) ist nach wie vor eine ernsthafte Bedrohung in der digitalen Welt. Die Konsequenzen können verheerend sein, wenn ein Angreifer in der Lage ist, unbemerkt zwischen zwei Kommunikationspartnern zu agieren und sich daraus Datenlecks, Betrugsfälle und schwerwiegendere Cybervorfälle ergeben. Es ist daher von großer Bedeutung, sich über die Funktionsweise von MitM-Angriffen im Klaren zu sein und entsprechende Schutzmaßnahmen zu ergreifen.
Vor allem Unternehmen sollten sich vor Augen führen, dass bei fehlender Awareness und Vorsicht aus einem kleinen Fauxpas schnell größere Vorfälle entstehen können. Und während sich die digitale Welt tagtäglich weiterentwickelt, wachsen damit auch die Möglichkeiten für Angreifer. Das rückt die Sensibilisierung für das Thema besonders in den Vordergrund.